Analyse de l'entête (Header) d'un Mail
Par Wullfk le 01/04/2011, - Sécurité PC - Lien permanent
Définition du Header :
Le header, (ou en-tête en français) c'est l'entête (CQFD) d'un fichier informatique
ou d'un paquet transitant sur un réseau informatique, ce sont aussi les données
contenues au début de ce fichier ou du paquet.
En transmission de données,
les données qui suivent le header sont souvent appelées charge utile ou body.
source Wikipédia.fr : http://fr.wikipedia.org/wiki/Header
Analyse de l'entête (Header) d'un Mail
Les éléments du Header :
Dans un Mail (courrier électronique), le texte (corps ou body) est précédé par des lignes de header indiquant :
- l'expéditeur.
- le destinataire.
- le sujet.
- les timestamps d'envoi et de réception.
- le serveur de messagerie électronique final.
- etc...
pour ceux qui veulent en savoir encore plus et que l'anglais ne rebute pas,
vous pouvez toujours consulter la RFC 2822 "Format standard des messages sur Internet" au tout début
Internet s'appelait ARPANET NET pour contraction d'Internet , ce n'était pas "la toile" immense que l'on connaît maintenant.
L'analyse par l'exemple :
Prenons l'exemple type d'un mail nous paraissant suspect, avec en objet du message un titre très racoleur, le but étant de déstabilisé, faire peur, ou faire croire à un gain, au lecteur que vous êtes.
Dans le cas présent, on partira du principe que vous avez rapatrié ce courrier dans votre client mail (Outlook, Thunderbird, etc...) avant d'ouvrir le message allons faire un tour dans le fameux header.
Vous pouvez tout aussi bien voir le header en consultant directement vos message sur le Webmail de votre F.A.I (Fournisseur Accès Internet) , l'intérêt c'est que cela pourra vous permettre d'établir certaines règles de filtrage directement à la source de réception de vos courrier, soit dit en passant celons votre F.A.I la création de règle sera plus ou moins facile à paramétré finement, au risque de ne plus rien recevoir si vous commettez des erreurs, les futur éventuelle messages non reçus seront définitivement perdu, mais je vous rassure les règles ça ce corrige, ou se désactive.
Je reviendrai plus longuement sur l'établissement de règles pour le Webmail Free particulièrement (c'est mon F.A.I) via l'adresse : http://mfilter.free.fr/Comment récupérer l'entête d'un Mail dans son Courrielleur?
celons votre client de réception de courrier, la procédure peut légèrement différée. Je ne vais pas tous vous les énumérer, j'ai pris les deux plus connus et utilisé.
Outlook 2007: un clic droit sur le mail, puis cliquez sur Options des messages, dans la fenêtre qui s'ouvrira, en bas vous avez le fameux header (l'entête Internet)
Thunderbird : aller dans l'onglet Affichage, et sélectionner Code source du message y a pas plus simple.
on y trouve les renseignements suivant :
Received: from server.exemple.fr(190.13.06.15)
by smtp.votre-FAI.fr with ESMTP(SMTPD32-4.06)id A09D3203BC;
Mon, 15 Nov 2010 14:19:42 EST
Received: from vilainpirate ([192.288.14.1])
by server1.exemple.fr (8.7.5) ID LAA28548;
Mon, 15 Nov 2010 14:19:42 -0700 (MST)
Message-Id: <599b403f348fd8529caa342af911e6acl@vilainpirate>
Reply-To: hadopi@hadopi.fr
From: bisounours@chezlui.com
To: votre-adresse@votre-FAI.fr
Subject: Message important a votre attention ! - vous avez gagnez
Content-Type: multipart/alternative; boundary="=-nxs_alt_d46cdd99c660e6b04e677477717d6dff"
Date: Mon, 15 Nov 2010 13:19:38 +0100
MIME-Version: 1.0
Content-Type: text/plain;
charset="ISO-8859-2"
X-Priority:3
X-MSMail-Priority:Normal
X-Mailer: Microsoft Outlook Express 4.72.3110.5
note : toutes les références de l'exemple sont fictives, toute ressemblance avec des éléments existants ou qui pourraient existé ne serait que pure coïncidence.
nous allons détaillé point par point la composition de cet en tête.
Adresse IP du serveur par lequel à transité le message.Received: from server.exemple.fr(190.13.06.15)
by smtp.votre-FAI.fr with ESMTP(SMTPD32-4.06)id A09D3203BC;
Mon, 15 Nov 2010 14:19:42 EST
Adresse IP du pirate.Received: from vilainpirate ([192.288.14.1])
Serveur SMTP utilisé par le pirate.by server1.exemple.fr (8.7.5) ID LAA28548
Nom réseau de l'ordinateur du pirate.Message-Id: <599b403f348fd8529caa342af911e6acl@vilainpirate>
Adresse ou sera acheminée votre réponse éventuelle. (vous aurez remarqué la petite pointe d'humour)Reply-To: hadopi@hadopi.fr
Adresse présumée du pirate (qui a sans doute été falsifiée).From: bisounours@chezlui.com
Votre adresse E-mail. (F.A.I= Fournisseur d'Accès Internet)To: votre-adresse@votre-FAI.fr
Objet du mail (déjà avec ce genre de titre, moi je reste très suspicieux).Subject: Message important a votre attention !- vous avez gagnez
Client mail utilisé par le pirate.X-Mailer: Microsoft Outlook Express 4.72.3110.5
La on dispose de l'essentiel, mais si on veut pousser un peu plus loin, on peut encore obtenir d'autres renseignements.
Received: from server.exemple.fr(190.13.06.15)
by smtp.votre-FAI.fr with ESMTP(SMTPD32-4.06)id A09D3203BC;
Mon, 15 Nov 2010 14:19:42 EST
Received: from vilainpirate ([192.288.14.1])
by server1.exemple.fr (8.7.5) ID LAA28548;
Mon, 15 Nov 2010 14:19:42 -0700 (MST)
En gras, ce sont les “timestamp” (littéralement parlant “timbre de temps” c'est vrai que même en Français c'est pas plus parlant)
en fait pour être bref, c'est tout ce qui indique les éléments temporel sur les serveurs.
- le jour.
- la date.
- le mois.
- l'année.
- l'heure.
- le décalage horaire.
- le fuseau horaire.
Sous cette abréviation ce cache le nom suivant : Multipurpose Internet Mail Extension, la définition sur Wikipedia nous dit ceci :MIME-Version: 1.0
"C'est un standard internet qui étend le format de données des courriels pour supporter des textes en différents codage de caractères autres que l'ASCII, des contenus non textuels, des contenus multiples, et des informations d'en-tête en d'autres codages que l'ASCII. Les courriels étant généralement envoyés via le protocole SMTP au format MIME, ces courriels sont souvent appelés courriels SMTP/MIME."
Pour faire simple, dans notre cas cela indique que le contenu du message est formaté en MIME. Sa valeur est typiquement "1.0"
Renvois le type de codage des caractères utilisés. On ne vas pas rentrer dans les détails, ça deviendrais trop technique.charset="ISO-8859-2"
dans le cadre de ce tutoriel, les derniers éléments n'ont pas grande importance, tout au plus cela vous permet de savoir quand le message à transitée sur les différents serveurs, s'il y a un décalage horaire, au quel cas on peut connaitre le fuseau horaire, et enfin le type de codage de caractère qui à été utilisé.
Cet exemple est évidement très basique en soit, et ce serait vraiment trop réducteur de résumé en disant que tout les headers sont tous aussi simple.
le principale y est, mais il y a bien plus sournois.
- le mail peut avoir transité par un ou des proxy,
- il peut y avoir une multitude de destinataire leur boite mail servant de relais.
- il peut ne pas y avoir d'objet d'indiqué (au quel cas il faut être encore plus méfiant).
- Il peut y avoir des liens cliquables, qui vous renvoie sur une page d'un site détourné (phishing)
- il peut y avoir des pièces jointes avec des fichiers .exe, .pdf, .jpeg, etc... (dans ce cas, avoir la certitude (signature numérique et/ou cryptage) de la provenance, sinon n'ouvrez pas !)
A quoi peuvent servir les principaux éléments fournis par le header ?
On garde notre exemple type.
Le fait de connaître l'adresse IP du serveur par lequel à transité le message permet de voir le chemin qu'il a emprunté, et mieux encore de connaître l'adresse IP du fameux pirate.
avec ces éléments, il n'y a plus qu'a envoyer votre plainte à abuse@exemple.fr et/ou à postmaster@exemple.fr (bien évidement vous remplacerez exemple.fr par le nom de domaine du F. A. I ou du serveur SMTP utilisé par le pirate)
abuse et postmaster étant valides avec n'importe quel F.A.I
la lecture de l'entête nous permet aussi de voir vers quel adresse sera envoyer notre éventuel réponse.
Comment éviter de rapatrié certains mails ?
Le principe c’est le filtrage en amont, donc directement sur le serveur mail de votre F.A.I2 solutions :
- Vous prenez le temps d'aller sur l'espace mail de votre F.A.I pour faire le tri, de vous à moi c'est assez fastidieux car cela vous contrains de passer par votre navigateur, aller sur le site votre F. A. I, puis dans votre espace client dans lequel vous devrez entrer votre identifiant et le mot de passe du compte, pour enfin accéder à votre boite mail. Franchement y a plus simple.
- Vous passer par un petit logiciel, qui ce chargera après configuration de lire vos courrier situé directement sur le serveur de votre F.A.I et dans le cas ou vous ne souhaiteriez pas rapatrié certains mails, de les supprimer purement et simplement, sans avoir à ouvrir votre navigateur.
si dessous 3 logiciels qui accomplissent parfaitement cette tache :
- PopTray : l'ancêtre dans le bon sens du terme
- POP Peeper 3.8.1.0 Fr Free: le petit frère de PopTray (c'est celui que j'utilise actuellement) La dernière version est POP Peeper Pro 4.0.1 mais uniquement disponible en shareware
- Magic Mail Monitor : un nouveau (enfin pour moi, car pas encore testé), ne nécessite pas d'installation.
Le principe reste le même pour les 3, ce qui peut faire la différence ce
sont les options fournis, la facilité de prise en main, d'utilisation au quotidien, et enfin
la présentation via l'interface graphique, qui reste plus subjective, les goûts
et les couleurs étant propre à chacun.
Voila, je pense qu'avec cette base vous serez plus attentif dans la réception et la lecture de vos mails.